प्लेटफ़ॉर्म
python
घटक
langflow
में ठीक किया गया
1.2.1
1.9.0
Langflow, AI-संचालित एजेंटों और वर्कफ़्लो के निर्माण और तैनाती के लिए एक उपकरण है। CVE-2026-33309 एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो Langflow के संस्करण 1.2.0 से 1.8.1 को प्रभावित करती है। यह भेद्यता CVE-2025-68478 के पैच को बायपास करती है, जिससे हमलावर मनमाना फ़ाइलें लिख सकते हैं। संस्करण 1.9.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को Langflow सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है। हमलावर फ़ाइल सिस्टम तक पहुंच प्राप्त कर सकते हैं, संवेदनशील डेटा चोरी कर सकते हैं, या सिस्टम को पूरी तरह से नियंत्रित कर सकते हैं। चूंकि भेद्यता फ़ाइल नाम सत्यापन में चूक के कारण है, इसलिए हमलावर आसानी से दुर्भावनापूर्ण फ़ाइलों को अपलोड कर सकते हैं जो सर्वर पर निष्पादित होती हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह Langflow के आर्किटेक्चर में एक अंतर्निहित समस्या को उजागर करती है, जहां स्टोरेज लेयर में सीमा नियंत्रण जांच का अभाव है। HTTP-लेयर ValidatedFileName पर निर्भरता एक रक्षा-गहराई विफलता है।
CVE-2026-33309 को अभी तक CISA KEV सूची में जोड़ा नहीं गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। NVD और CISA ने 2026-03-19 को इस भेद्यता को प्रकाशित किया।
Organizations deploying Langflow for AI agent development and workflow automation are at significant risk. This includes teams using Langflow in production environments, particularly those with limited security controls or those relying on older, unpatched versions. Shared hosting environments where multiple users share the same Langflow instance are also at elevated risk, as a compromise of one user's environment could potentially impact others.
• python / server:
import os
import hashlib
def check_langflow_files(directory):
for filename in os.listdir(directory):
if filename.endswith('.pyc') or filename.endswith('.pyo'):
file_path = os.path.join(directory, filename)
try:
with open(file_path, 'rb') as f:
file_content = f.read()
md5_hash = hashlib.md5(file_content).hexdigest()
if 'malicious_string' in md5_hash:
print(f"Potential malicious file detected: {file_path}")
except Exception as e:
print(f"Error reading file: {file_path} - {e}")
# Example usage (replace with Langflow's data directory)
check_langflow_files('/path/to/langflow/data')• generic web:
curl -I 'http://your-langflow-server/api/v2/files/' | grep 'Content-Type:'• linux / server:
journalctl -u langflow -f | grep -i "error" -i "exception"disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.07% (22% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Langflow को तुरंत संस्करण 1.9.0 में अपडेट करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल अपलोड को सीमित करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। फ़ाइल नाम सत्यापन को मजबूत करने के लिए अतिरिक्त कॉन्फ़िगरेशन परिवर्तन भी किए जा सकते हैं, लेकिन यह ध्यान रखना महत्वपूर्ण है कि ये परिवर्तन भेद्यता को पूरी तरह से समाप्त नहीं करेंगे। अपलोड किए जा रहे फ़ाइलों के प्रकार और आकार पर सख्त नियंत्रण लागू करें।
Langflow को संस्करण 1.9.0 या उच्चतर में अपडेट करें। इस संस्करण में मनमाना फ़ाइल लेखन (Arbitrary File Write) भेद्यता के लिए एक सुधार शामिल है। अपडेट हमलावरों द्वारा रिमोट कोड एग्जीक्यूशन (RCE) को रोक देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33309 Langflow के संस्करण 1.2.0 से 1.8.1 में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है जो हमलावरों को मनमाना फ़ाइलें लिखने की अनुमति देती है।
यदि आप Langflow के संस्करण 1.2.0 से 1.8.1 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Langflow को तुरंत संस्करण 1.9.0 में अपडेट करें।
CVE-2026-33309 को अभी तक CISA KEV सूची में जोड़ा नहीं गया है, लेकिन भेद्यता की गंभीरता को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है।
आधिकारिक Langflow सलाहकार के लिए, कृपया Langflow की वेबसाइट या GitHub रिपॉजिटरी देखें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।